IT演習B マネジメント系4 サービスメンジメント、システム監査 平成30年5月18日
本日の学習内容と目的 <学習内容> <目的> ITサービスマネジメントとITIL サービスサポート サービスデリバリ ファシリティマネジメント システム監査 内部統制 <目的> ITサービスの管理の手法と情報システム監査の流れを理解する。
1.ITサービスマネジメントとITIL① <ITサービスマネジメント> 顧客要件を満たす品質の高いITサービスの計画・開発・提供・維持に 必要なプロセスを、サービスレベル合意書(SLA)における定義と合 致する様に構築してゆくアプローチ。(Hatena Keyword) そのベストプラクティス(成功例)を集約・整理して、実際の活動に 活用できるガイドブックとして整理したものが、ITIL(Information Technology Infrastructure Library) 1980年代に英国商務局が制定し、次の7つの分野にまとめられている。 サービスサポート、サービスデリバリ、サービスマネジメントの導入計画立 案、ビジネスの観点、アプリケーション管理、ICTインフラストラクチャ管理、セ キュリティ管理 基礎課題4-1
2.サービスサポート ITサービスの運用をサポートするため のプロセス 次のような5つのプロセスと一つの 機能から構成されている。 利用者 サービスデスク インシデント管理 問題管理 サービス資産管理及び構成管理(構成管理) 変更管理 リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! ITサービスの運用をサポートするため のプロセス 次のような5つのプロセスと一つの 機能から構成されている。
2-1.サービスデスク ITサービスの利用者からの 問合せに対応する一本化さ れた窓口。 インシデント管理 問題管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク ITサービスの利用者からの 問合せに対応する一本化さ れた窓口。 使用方法、トラブル時の対 処方法、故障の修理依頼や 苦情など様々な問合せを受 け付ける。 受け付け方法は、電話や電 子メール、FAXなど様々。 問合せの多い内容とその回答はFAQとして蓄積・公開する。 基礎課題4-2~基礎課題4-3
2-2.インシデント管理 インシデントが発生した場 合に、可能な限り迅速に通 常のサービス運用の回復に 努める。 問題管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク インシデントが発生した場 合に、可能な限り迅速に通 常のサービス運用の回復に 努める。 サービスの中断・低下を最 小限に抑え、サービスの品 質を維持することが目的。 解決できない問題があった 場合は問題管理へ引き継ぐ。 基礎課題4-4~基礎課題4-6
2-3.問題管理 発生したインシデントの根 本的原因を突き止め、恒久 的な解決策を提供すること で再発を防止する。 インシデント管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク 問題管理 発生したインシデントの根 本的原因を突き止め、恒久 的な解決策を提供すること で再発を防止する。 システム変更の必要性があ る場合は変更管理へ引き継 ぐ。 基礎課題4-7~基礎課題4-8
2-4.変更管理 問題管理において解決策として 情報システムの変更が必要と判 断された場合に、次の作業を行 う。 変更による影響を検討し、変更 要求の許可あるいは却下を決定 する。 変更許可の場合、変更作業スケ ジュールを立て、変更内容を指 示する。 変更後、要求通り正しく変更さ れているかチェックする。 インシデント管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク 問題管理 本番環境での変更をリリース管理へ依頼する。 変更マネージャー Change Advisory Board(変更諮問委員会) 変更内容を構成管理へ伝える。 基礎課題4-9~基礎課題4-10
2-5.リリース管理及び展開管理(リリース管理) インシデント管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク 問題管理 変更されたITサービスを本番 環境へ実装する。 ハードウェアやソフトウェ アを更新あるいは新たに調 達した場合は、構成管理へ その変更内容を伝える。 基礎課題4-11
2-6.サービス資産管理及び構成管理(構成管理) インシデント管理 サービス資産管理及び構成管理(構成管理) リリース管理及び展開管理(リリース管理) 利用者 迅速に復旧 抜本的解決 システム変更 実装と公開 インシデント発生! 変更管理 サービスデスク 問題管理 ITサービスを構成するハード ウェアやソフトウェアなど の構成要素を維持・管理す る。次のような管理を行う。 所有する情報資産を正確に 把握する。 機器の維持コストを把握し、 予算策定やコスト削減に役 立てる。 ライセンス管理やセキュリ ティ管理を効率化する。 基礎課題4-12、基礎課題4-13
3.サービスデリバリ ITサービスを中長期的に計画・改善するためのプロセス。 次の5つのプロセスで構成される。 サービスレベル管理 キャパシティ管理 ITサービス継続性管理 可用性管理 サービスレベル合意書(SLA) サービスレベル管理(SLM)
3-1.サービスレベル合意書(SLA) <SLA(Service Level Agreement)> ITサービスの品質に関する利用者と提供者間の合意書 内容には、システムサービスの範囲、課金内容、取い合わせの受付時 間、システム障害時の復旧目標時間などが盛り込まれている。 これにより、ITサービスの利用者と提供者が、サービス内容について 共通認識を持てるようになる。 基礎課題4-14~基礎課題4-16
3-2.サービスレベルマネジメント(SLM) <SLM(Service Level Management)> 合意(契約)したサービスレベルが達成されるよう、PDCAサイクル を実施し、ITサービスレベルの維持・改善を図るマネジメント活動。 Plan Do Check Action SLA策定 ITサービスの実行(提供) サービスレベルの計測・評価 SLAの見直し ITサービスの改善 基礎課題4-17~基礎課題4-20
補足)ITIL V3への改善 ITサービスのライフサイクルの考え方が導入され、それに沿って、V2の機能・プロセスが再構成された。 サービスマネジメント導入計画 可用性管理 キャパシティ管理 ITサービス継続性管理 サービスレベル管理 ITサービスのライフサイクルの考え方が導入され、それに沿って、V2の機能・プロセスが再構成された。 V3 2007年5月30日リリース 変更管理 サービスデスク リリース管理及び展開管理 インシデント管理 トランジション 問題管理 サービス資産管理及び構成管理 http://www.fujitsu.com/jp/services/business/it-consulting/itil/itil/v2v3/
4.ファシリティマネジメント IT関連設備が適切な使われ方をしているかを、経営者の視点から、監 視・改善すること システム環境の整備 停電に備えUPS(無停電電源装置)を設置する。 地震に備え、免震床を設置する。 落雷などによる過電圧に備え、サージプロテクト機能付きOAタップを使用する。 ノート型PCの盗難に備え、セキュリティワイアを使用する。 施設内へ不正侵入防止のため、IDカードや指紋認証などを用いて入退出管理を行う。 システム環境の維持・保全 施設を適切な状態で維持・保全するため、計画的に機器更新等を行う。 管理責任者を配置して明確な保全計画の下に、作業を進める。 基礎課題4-21~基礎課題4-24
5.システム監査 システム監査人が、情報システムの安全性や信頼性および経営への貢 献度を点検・評価し、関係者に助言や勧告を行うこと。 システム監査人は、監査対象とは関わりを持たない第三者である事が 必要。 企業内の監査部門が行う内部監査と外部機関に依頼して行う外部監査 がある。 <監査項目例> 情報システムが、障害に対する信頼性を確保しているか。 情報システムが、災害や不正アクセスに対する安全性を確保しているか。 情報システムが、企業の経営方針や戦略に対して効率的に貢献しているか。 基礎課題4-25
システム監査のプロセス 計画 報告 実施 基礎課題4-26~基礎課題4-28 監査目的・監査対象の明確化 被監査部門の代表者との意見交換 システム監査計画の策定 意見交換会 経営者に監査結果を説明 実施 監査報告会 調査項目の決定 予備調査 フォローアップ 具体的な調査・分析・検討 本調査 改善の実現を支援 基礎課題4-26~基礎課題4-28 監査結果、総括、優良点、指摘事項、改善事項 システム監査報告書の作成
6.内部統制 企業自らが、業務を適正に行うための体制を構築すること。経営者が 責任を持って実施する。 4つの目的 業務の有効性及び効率性の向上、財務報告の信頼性の確保、 事業活動にかかわる法令等の遵守(コンプライアンス)、資産の保全 <6つの要素> 統制環境(組織風土の整備)、リスクの対応と評価(リスクへの対応力向上)、 統制活動(職務分掌、内部統制の実施・チェック体制確立)、 情報と伝達(情報共有)、モニタリング(内部統制の監視・評価)、 ITへの対応(情報システムの導入) リスクコントロールマトリクス 基礎課題4-29~基礎課題4-32
IT統制 情報システムを利用する業務に関わる内部統制のこと。 企業で利用している情報システムや管理している情報が適切に活用さ れているかを監視・統制することが目的。 業務処理統制と全般統制からなる。 業務処理統制 各業務が正確に処理されるようにするための統制活動。 全般統制 業務処理統制が有効に機能するように環境を整備すること。 【基礎課題4-33】 業務で処理するデータの「正確性」、「正当性」、「網羅性」、「維持継続性」を確保するための統制 システムの運用・管理、システムの安全性の確保、外部委託に関する契約の管理、など
用語の説明 <コーポレートガバナンス> <ITガバナンス> 会社がステークホルダ(株主や顧客、従業員、地域社会等)の立場を 踏まえ、透明・公正かつ迅速な意思決定を行うための仕組みのこと。 社外取締役を置くなど。 コーポレートガバナンスは経営者の管理監督をする仕組みであり、そ の中に内部統制という仕組みが存在する。 <ITガバナンス> コーポレートガバナンスの一要素。 ITガバナンスとは、経営陣がITを有効活用することによって、ビジネス 目標を確実に達成できるようにするための仕組み。(サイバーNavi) 【基礎課題4-34】
今後の予定 5月25日 第1回理解度確認テスト 13:15~14:05(予定)
応用課題の提出期限 【応用課題4-1】~【応用課題4-9】 4月19日 12:00まで
今後の予定 5月25日 第1回理解度確認テスト 13:15~14:05(予定)
リスクコントロールマトリクス 業務上想定されるリスクと、それに対応する統制活動(コントロー ル)の関係を明確にするために作成される表形式の文書のこと (http://www.obic.co.jp/glossary/014.html) 【応用課題4-9】 <例> 業務 リスク コントロール 出張旅費精算 出張していないのに旅費を支払ってしまうかもしれない 経理部が精算内容と添付された切符・搭乗券の現物を必ず照合する 参考: http://itpro.nikkeibp.co.jp/article/Keyword/20070323/266150/